网络工程师进阶 | 我不常用的命令以及不经常注意的地方—路径控制部分

• 编辑 | 排版 | 制图 | 测试 | ©瑞哥
• 此文用时1小时43分钟，原创不易，坚持更不易，希望我的每一份劳动成果都可以得到大家的一个【在看】

distribute-list（分发列表）

distribute-list不能用于链路状态路由选择协议来阻断特定接口上的LSA

并且不能再接口锅炉OPSF的出站路由选择更新

router ospf 1

distribute-list 2 out 路由协议

这句话的意思是当某个路由协议重分布到ospf中时，只允许ACL 2 匹配中的路由重分布进来

prefix-list（前缀列表）

前缀列表可以匹配掩码范围，ACL不可以匹配掩码范围。

10.1.0.0/16 ge 17 le 24

前面表示多少位要严格匹配，后面的ge le表示掩码的范围

这句话的意思是：匹配一10.1开头的，掩码Wie17位到24位的所有路由条目

route-map

match 在同一行多个匹配标准使用逻辑OR

match 在同一列多个匹配标准使用逻辑and

管理距离（AD）

EIGRP的汇总路由默认管理距离为5，且只在本地有效。

在进程下：

distance distance-number [ address wildcard-mask ][ access-list-number | name]

ACL的作用：匹配某个路由条目需要修改管理距离

地址和反掩码的作用：表示谁通过过来的路由条目需要修改管理距离

PBR（策略路由）

作用：控制流量走向，如果接口配置了策略路由，当收到数据包时，先匹配策略路由，

如果匹配不上，则查路由表。

作用对象

接口上配置了PBR，只能对进入的流量生效

全局下配置PBR，只能对本地产生的流量生效（需要加上：ip local policy route-map map-name）

show ip policy 可以查看配置的PBR

offset-list（偏移列表）

只支持距离矢量路由协议，并且只能增加。

offset-list access-list-number | access-list-name [ in | out ] offset-num [ interface-type interface-number ]

注意：offset-num 表示在原来的基础上增加的数值

ip bgp-community new-format 开启BGP团体属性的新格式

ip community-list list-number permit/deny NN:AA

ORF

支持该功能的 BGP 路由器会把本机配置的 BGP 路由入站过滤器“推送”给 BGP 远程对等体，

以便远程对等体将收到的过滤器应用为自身的 BGP 路由出站过滤器.(该功能很好用，可以节约大量资源）

nei X.X.X.X capability orf prefix-list both 和邻居开启ORF，并就收对方的入向推送

要是不想接纳由 R1 推送的 prefix-list，则可以配置 R2，令其用本机配置的出站方向的

prefix-list 进行“覆盖”。

show ip ospf | begin area 可以查看SPF算法多久执行一次和最后一次执行的时间

BGP中aggregate-address X.X.X.X X.X.X.X as-set summary-only

该汇总命令由于加上了as-set参数，使得汇总路由继承了明细路由的属性

使得汇总路由无法传回本AS，解决办法如下：

1、去掉as-set

2、在PE上配置 as-override

3、在CE上配置 allowas-in

其继承属性有：as-path local-perfence origin-code（?>e>i） 团体属性

在ospf进程中 auto-cost reference-bandwidth +X 修改OSPF的参考带宽为X（单位为Mb/s）

修改了一个路由器，其他启用了OSPF进程的路由器也要修改

ospf中的ABR到达区域内的某个网段有区域内路由（直接和这个区相连的路由）和区域间路由

（从其他ABR学到的路由）时，如果区域间的路由开销比区域内的路由的开销低，路由器还是

会选择区域内的路由走，不会选择开销低的区域间路由。

OSPF的stub区域ABR下发的默认路由的cost默认为1，可以使用area area-id default-cost cost-number修改

OSPF中OE1 ON1的路由累加外部和内部开销反映到点目的网络的总开销，OE2 ON2只采用外部度量值。

OSPFv3的配置模式

传统模式：

ipv6 unicast-routing

ipv6 router ospf process-id

router-id X.X.X.X（如果没有router-id 进程启动失败）

interface f0/0

ipv6 ospf process-id area area-id

注意：该模式不需要再路由器上配置IPv4地址

没有network命令

接口必须启用IPv6

当使用单播指定邻居（neighbor）时，使用的地址是IPv6的链路本地地址。在接口下：ipv6 ospf neighbor FE80::2（在NBMA接口）

新版模式：

ipv6 unicast-routing

router ospfv3 process-id

router-id X.X.X.X (对IPv4 IPv6地址簇同时生效）

address-family ipv6 unicast

router-id X.X.X.X (只对IPv6地址簇生效）

address-family ipv4 unicast

router-id X.X.X.X (只对IPv4地址簇生效）

interface F0/0

ospfv3 process-id ipv4/ipv6 area area-id

ospfv3 process-id ipv4/ipv6 neighbor FE80::2 （在NBMA接口）

其他ospf的特性配置和常规的IPv4配置相同，只不过是要在对应的地址簇中配置。

ppp ipcp route default 接口下为PPP下发一条默认路由，配置之后清一下路由表。

使用IPV4传递IPV6路由会导致IPV6路由的下一跳不可达，需要使用route-map不可达

123下发默认路由 124学习明细 125全局NAT

crypto ipsec nat-transparency udp-encapsulation 这条命令在新本的IOS中时默认开启的

作用：IPsec的流量在经过NAT的时候不转换，使用UDP封装使其穿越NAT

开启位置：只需要在开启IPSEC-V**的设备上开启即可，和其他设备没有关系

考查：PAT和site之间的静态映射，注意有两个：UDP的500 4500端口都要映射

如果是懂开启的，关掉4500的端口也可以通，因为设备内部会自动下发“奇怪的端口号”，可以在NAT转换表中看到

ip nat inside source static udp 内部地址 500 外部地址 500

ip nat inside source static udp 内部地址 4500 外部地址 4500

注意：写这两条命令的作用是-使得PAT外部的site能够主动发起V**建立

不写这两条，可以使得PAT内部的site主动发起V**建立，也是可以的

原因：PAT内部的site发起V**建立，使得PAT上面能够有udp 500 4500的

一一对应表，从而到达对端site，建立起SPI（V**隧道）,PAT外部的site

使用该SPI回应，到达PAT的时候根据行程的NAT转发表，到达内部site

show crypto engine conn active 可以查看IPsec的加解密状态

show interfaces status err-disabled 查看是否有端口安全违规

max-metric router-lsa 通告lsa出去的时候加上自己接口的cost值（加的是65535，不是实际cost）

ospf邻居起来了，但是不传递路由，很可能是网络类型的原因

ospf的数据库中记录的是邻居发过来的LSA的cost，只有通告出去的时候才会加自己的接口cost

show ip bgp rib-failure 可以查看加表失败的BGP路由的原因

使用IPv4承载IPv6路由，会使得IPv6的路由的下一跳不可达，需要使用route-map进行更改。

ip domain lookup开启域名解析

ip name server X.X.X.X 设置DNS服务器的地址为X.X.X.X

show ip dns view 可以查看DNS的相关配置信息

ip dns server 开启DNS服务

ip host www.aaa.com X.X.X.X将网址绑定在X.X.X.X这个地址上

ip name server X.X.X.X将X.X.X.X设置为自己的DNS服务器地址